政策解读：《工业和信息化领域数据安全管理办法（试行）

　　12月13日，《工业和信息化领域数据安全管理办法（试行）》在工信部官网公开发布，并于2023年1月1日起正式施行。《办法》作为工信领域数据安全管理顶层制度文件，共八章四十二条，重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。主要内容包括七个方面：一是界定工业和信息化领域数据和数据处理者概念，明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据，围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节，提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。其将与《工业领域数据分类分级指南（试行）》（2020.2）《工业互联网企业网络安全 第4部分：数据防护要求（征求意见稿）》（2022.11）等文件一起，成为工业领域数据安全保护工作的合规指南。

　　2021年9月1日，《数据安全法》正式施行，依法开展数据安全工作踏上了新征程。工业领域作为《数据安全法》中提及的行业领域之首，是当前强化数据安全保障的重要领域。随着企业上云、工业APP培育等工作持续推进，工况状态、产能信息等数据向云平台加速汇聚，高价值的数据资源池成为不法分子的攻击目标。此外，新一代信息技术与制造业融合发展模式下，工业生产环境互联开放趋势加快，工业数据的流向、路径、汇聚点等都发生了变化，数据从流向企业本地孤立的业务系统，到流向外部的边缘节点、大数据中心等，贯穿了企业控制网、管理网、专用网、互联网等各个网络，数据安全涉及设备层、控制层、网络层、平台层及应用层各个层面，数据暴露面加大，数据安全风险点增多，数据安全影响面更广。

　　在中华人民共和国境内开展的工业和信息化领域数据（工业数据、电信数据、无线电数据等）处理活动（数据收集、存储、使用、加工、传输、提供、公开等）及其安全监管，应当遵守相关法律、行政法规和本办法的要求。军事领域、涉密领域、政务数据的处理活动，按照有关规定执行。

　　工信部负责监督指导地方工业和信息化主管部门、地方通信管理局、地方无线电管理机构等地方行业监管部门开展数据安全监管工作，地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。

　　工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。

　　数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台（站）使用单位等工业和信息化领域各类主体。按照所属行业领域可分为工业数据处理者、电信数据处理者、无线电数据处理者等。

　　工信部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范，指导开展数据分类分级管理工作，制定行业重要数据和核心数据具体目录并实施动态管理。

　　地方行业监管部门负责组织开展本地区工业和信息化领域数据分类分级管理工作及重要数据和核心数据识别工作，确定本地区重要数据和核心数据具体目录并上报工业和信息化部，目录发生变化的，应当及时上报更新。

　　工业和信息化领域数据处理者应当定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。

　　根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对、公共利益或者个人、组织合法权益等造成的危害程度，综合判定安全级别。

　　受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小；

　　对、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与相关的重点领域；

　　造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；

　　引发的级联效应明显，影响范围涉及多个行业、区域或行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；

　　对、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与相关的重点领域；

　　对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；

　　1、数据处理者向本地行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，不包括数据内容本身。

　　2、地方行业监管部门二十个工作日内审核备案申请。若审核通过，将备案情况上报工信部。若审核未通过，及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。

　　3、备案内容发生重大变化的，数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模（数据条目数量或者存储总量等）变化30％以上，或者备案内容发生变化。

　　建制度：建立数据全生命周期安全管理制度，针对不同级别数据，制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程；

　　配人员：根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业监管部门开展工作；

　　明确数据安全责任人：建立覆盖本单位相关部门的数据安全工作体系，明确数据安全负责人和管理机构，建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人，领导团队中分管数据安全的成员是直接责任人；

　　明确关键岗位和职责：明确数据处理关键岗位和岗位职责，并要求关键岗位人员签署数据安全责任书，责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容；

　　开展风险评估：自行或委托第三方评估机构，每年对数据处理活动至少开展一次风险评估，及时整改风险问题，并向本地区行业监管部门报送风险评估报告。

　　3、按照应急预案及时开展应急处置，涉及重要、核心数据的安全事件第一时间上报本地区行业监管部门，并每年上交事件处置总结报告。

上一篇:数藏平台NFT发行系统APP（源码部署）
下一篇:他为科学数据共享一路奔走